Bandeira

Developer · Compliance

Compliance LGPD

Resumo para revisores da postura da Bandeira sob a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Para a versão autoritativa, consulte a Política de Privacidade completa.

Base legal (art. 7º)

O tratamento se fundamenta em consentimento (art. 7º, I) para a participação de apoiadores, capturado eletronicamente por indivíduo via Termo do Apoiador; e em legítimo interesse (art. 7º, IX) para operações de serviço ao cliente, ponderado contra os direitos do titular via opt-out, transparência e minimização.

Direitos do titular (art. 18)

Honramos todos os direitos do art. 18 — confirmação, acesso, correção, anonimização, portabilidade, eliminação, revogação do consentimento, informação sobre compartilhamento e revisão de decisões automatizadas. Solicitações são tratadas em /excluir-dados com protocolo numerado e prazo de resposta de 15 dias.

Residência dos dados

Dados de produção ficam em sa-east-1 (São Paulo) — Supabase Postgres para o MVP do site institucional e AWS (RDS Multi-AZ + S3) para a plataforma quando entrar em produção. Nenhum dado pessoal sai do território brasileiro em operação normal.

Retenção por categoria

  • Leads de formulário: 24 meses desde a última interação, depois anonimizados.
  • Logs de solicitações LGPD: 5 anos (obrigação regulatória segundo orientação da ANPD).
  • Registros de consentimento: 5 anos (prova de consentimento).
  • Eventos de auditoria do apoiador: 5 anos (rastreabilidade eleitoral e de plataforma).
  • Notas fiscais e dados fiscais: 5 anos (obrigação tributária).

Criptografia e controle de acesso

Tokens de acesso Meta são criptografados em repouso com AES-256-GCM, chave mestra em AWS KMS com rotação automática. O banco usa Row-Level Security para forçar multi-tenancy mesmo se a camada de aplicação esquecer um filtro. TLS 1.2+ em todas as conexões; HSTS preload no edge (.app.br já é HSTS-preloaded a nível de TLD).

Subprocessadores

Listados e atualizados na Política de Privacidade. Lista atual inclui Supabase, Cloudflare, Resend e Anthropic. Cada um tem propósito documentado, região e DPA assinado.

Encarregado de Dados (DPO)

dpo@bandeira.app.br · Bandeira Tecnologia LTDA · São Paulo, Brasil · Acessível para questionamentos da ANPD, notificações de incidentes e solicitações individuais.

← Voltar para Documentação para desenvolvedores